نرم افزار جاسوسی Chinotto
یک تهدید بدافزار کاملاً جدید که به عنوان جاسوسافزار Chinotto ردیابی میشود، در حملات علیه فراریان کره شمالی، خبرنگارانی که اخبار مرتبط با کره شمالی و سایر نهادهای کره جنوبی را پوشش میدهند، مشاهده شده است. این بدافزار بهعنوان یک تهدید در مرحله آخر عمل میکند که به سیستمهایی که قبلاً نقض شدهاند قربانیان هدف تحویل داده میشود. عملکرد اصلی Chinotto شامل ایجاد کنترل بر دستگاه در معرض خطر، جمع آوری اطلاعات حساس مختلف از آن، و استخراج داده ها به یک سرور Command-and-Control (C2, C&C) است.
کمپین حمله به گروه APT37 تهدید دائمی پیشرفته (APT) با حمایت دولتی نسبت داده می شود. جامعه infosec همچنین این گروه خاص جنایت سایبری مرتبط با کره شمالی را با نام ScarCruft، InkySquid، Reaper Group و Ricochet Chollima ردیابی کرده است. این عملیات حمله اخیر بسیار هدفمند است. بازیگر تهدید از حسابهای جمعآوریشده فیسبوک برای تماس با افراد منتخب استفاده کرد و سپس یک ایمیل فیشینگ برای آنها ارسال کرد.
ایمیل های خراب حاوی یک سند فریبنده بود که ظاهراً مربوط به امنیت ملی کره جنوبی و وضعیت همسایه شمالی آنها است. هنگامی که کاربر سعی می کند سند مسلح شده را باز کند، یک ماکرو مخفی فعال می شود و زنجیره حمله آغاز می شود. محققان Infosec عملیات APT37 را کشف و تجزیه و تحلیل کردند. بر اساس یافتههای آنها، از چندین تهدید بدافزار استفاده شده است که در مراحل مختلف حمله مستقر شدهاند.
لازم به ذکر است که گونه ای از تهدید Chinotto برای آلوده کردن دستگاه های اندرویدی طراحی شده است به طور مشخص. هدف مهاجمان یکسان است - به دست آوردن اطلاعات حساس و ایجاد روال جاسوسی در دستگاه تلفن همراه. نسخه اندروید از طریق حملات smishing منتشر شد و کاربران هدف را بر آن داشت تا طیف گسترده ای از مجوزهای دستگاه را به آن اعطا کنند. در صورت موفقیت آمیز بودن، تهدید می تواند به لیست مخاطبین کاربر، پیام ها، گزارش تماس ها، ضبط صدا و موارد دیگر دسترسی داشته باشد. این نرم افزار جاسوسی همچنین داده ها را از چندین برنامه هدفمند مانند Huawei Driver، KakaoTalk و Tencent WeChat (Weixin) جمع آوری می کند.